México.- Sophos, la firma de ciberseguridad de última generación alertó que los criminales están utilizando cada vez más el robo de cookies y/o datos que se generan cuando un usuario inicia sesión dentro de una plataforma web, para eludir la autenticación multifactor y obtener acceso a los recursos corporativos.
En algunos casos, el robo de cookies en sí mismo es un ataque altamente dirigido, con adversarios que extraen datos de sistemas comprometidos dentro de una red y usan programas ejecutables legítimos para disfrazar la actividad maliciosa.
Una vez que los atacantes obtienen acceso a los recursos corporativos basados en la web y en la nube utilizando las cookies, pueden usarlos para tener un mayor alcance, como el hecho de comprometer la red de correo electrónico comercial, la ingeniería social para obtener acceso adicional al sistema e incluso la modificación de los repositorios de datos o código fuente.
Los atacantes están recurriendo a versiones nuevas y mejoradas de malware de robo de información como Raccoon Stealer para simplificar el proceso de obtención de cookies de autenticación, también conocidas como tokens de acceso”, dijo Sean Gallagher, investigador principal de amenazas de Sophos.
¿Qué son las cookies? Las cookies de sesión o autenticación son datos almacenados por un navegador web cuando un usuario inicia sesión. Si los atacantes los obtienen, pueden inyectar dicho token de acceso en una nueva sesión web, engañando al navegador para que crea que es el usuario autenticado y anulando la necesidad de autenticación.
Dado que un token también se crea y almacena en un navegador web cuando se usa MFA, este mismo ataque se puede usar para eludir esta capa adicional de autenticación. Para agravar el problema, muchas aplicaciones legítimas basadas en la web tienen cookies de larga duración que rara vez o nunca caducan.
Hoy en día, la industria del malware como servicio hace más fácil para los atacantes de nivel básico que se involucren en el robo de credenciales. Por ejemplo, todo lo que necesitan hacer es comprar una copia de un troyano que roba información como Raccoon Stealer para recopilar contraseñas y cookies a granel y luego venderlos en mercados de cibercrimen.